.bat

[kamil0123]

Witam.

Nie jestem obeznany za bardzo w programach, wirusach i chciałem się dowiedzieć pewnej rzeczy, niedawno ściągnąłem program i chciałem go zainstalować gdy mignął mi przed oczami jakiś plik z końcówką .bat. Słyszałem kiedyś że jest to jakiś wirus lub keylogger. Nie wiem czy to jest prawdą i boję się że jeśli to keylogger to ktoś mi powykrada hasła do banku, pocztę itp.

Jeśli ktoś się na tym zna niech odpowie bo nie wiem za bardzo co mam robić.

Jeśli jest to keylogger to czy da się go jakoś usunąć?

Z góry bardzo dziękuję

[Psycholandia]

Wrzuć logi z Combofix

Instrukcja jak to zrobić: http://www.forumpc.pl/index.php?showtopic=11018

[mezicki]

Bat to skryp dos'owy owszem można nim zrobić wirusa ale nie keylogera raczej

[kamil0123]

ComboFix 09-06-18.02 - hyx 2009-06-19 20:41.1 - NTFSx86Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.959.680 [GMT 2:00]Uruchomiony z: c:\documents and settings\hyx\Pulpit\ComboFix.exeAV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0} * Utworzono nowy punkt przywracania.(((((((((((((((((((((((((   Pliki utworzone od 2009-05-19 do 2009-06-19  ))))))))))))))))))))))))))))))).2009-06-16 13:31 . 2009-06-16 13:33	--------	d-----w-	c:\documents and settings\hyx\Dane aplikacji\Nowe Gadu-Gadu2009-06-16 13:31 . 2009-06-16 13:31	--------	d-----w-	c:\program files\Nowe Gadu-Gadu2009-06-16 05:41 . 2009-06-04 05:59	94643	----a-w-	c:\windows\system32\drivers\klick.dat2009-06-16 05:41 . 2009-06-04 05:59	105395	----a-w-	c:\windows\system32\drivers\klin.dat2009-06-16 05:40 . 2009-06-19 18:45	286752	--sha-w-	c:\windows\system32\drivers\fidbox2.dat2009-06-16 05:40 . 2009-06-19 18:45	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab2009-06-16 05:40 . 2009-06-19 18:44	1232928	--sha-w-	c:\windows\system32\drivers\fidbox.dat2009-06-16 05:40 . 2009-06-16 05:40	--------	d-----w-	c:\program files\Kaspersky Lab2009-06-16 05:40 . 2009-06-16 05:40	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2009-06-15 18:42 . 2009-06-15 18:42	--------	d-----w-	c:\documents and settings\hyx\Ustawienia lokalne\Dane aplikacji\Winamp Toolbar2009-06-13 15:43 . 2009-06-13 15:43	--------	d-----w-	c:\documents and settings\hyx\Ustawienia lokalne\Dane aplikacji\Help2009-06-13 08:51 . 2009-06-13 09:06	--------	d-----w-	c:\windows\system32\Adobe2009-06-10 13:47 . 2009-06-10 13:47	--------	d-----w-	c:\documents and settings\hyx\Ustawienia lokalne\Dane aplikacji\Identities2009-06-05 08:51 . 2009-06-05 08:51	--------	d-----w-	c:\program files\MSXML 4.02009-06-05 04:53 . 2009-06-05 05:41	--------	d-----w-	c:\windows\system32\CatRoot_bak2009-06-05 04:44 . 2008-06-14 18:01	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys2009-06-05 04:44 . 2008-06-14 18:01	273024	------w-	c:\windows\system32\drivers\bthport.sys2009-06-05 04:42 . 2009-02-09 11:52	2059008	-c----w-	c:\windows\system32\dllcache\ntkrnlpa.exe2009-06-05 04:42 . 2009-02-09 11:52	2017280	-c----w-	c:\windows\system32\dllcache\ntkrpamp.exe2009-06-05 04:42 . 2009-02-09 11:52	2181760	-c----w-	c:\windows\system32\dllcache\ntoskrnl.exe2009-06-05 04:42 . 2009-02-09 11:52	2137600	-c----w-	c:\windows\system32\dllcache\ntkrnlmp.exe2009-06-05 04:37 . 2008-10-24 11:10	453632	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys2009-06-04 19:20 . 2009-06-10 05:17	--------	d--h--w-	c:\windows\$hf_mig$2009-06-04 10:46 . 2009-06-04 10:46	--------	d-----w-	c:\program files\Real Alternative2009-06-04 10:46 . 2009-06-04 10:46	--------	d-----w-	c:\documents and settings\hyx\Ustawienia lokalne\Dane aplikacji\Real2009-06-04 05:59 . 2009-06-04 05:59	206088	----a-w-	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe2009-06-04 05:59 . 2009-06-04 05:59	33808	----a-w-	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys2009-06-04 05:59 . 2009-06-04 05:59	226832	----a-w-	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys2009-06-03 17:56 . 2009-06-03 17:56	410984	----a-w-	c:\windows\system32\deploytk.dll2009-06-03 17:56 . 2009-06-03 17:56	152576	----a-w-	c:\documents and settings\hyx\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll2009-06-03 17:36 . 2009-06-03 17:36	--------	d-----w-	c:\documents and settings\hyx\Dane aplikacji\Media Player Classic2009-06-03 17:14 . 2009-06-06 11:26	--------	d-----w-	c:\program files\Metin2_PL.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-06-19 18:45 . 2009-06-16 05:40	3108	--sha-w-	c:\windows\system32\drivers\fidbox2.idx2009-06-19 18:44 . 2009-06-16 05:40	11760	--sha-w-	c:\windows\system32\drivers\fidbox.idx2009-06-19 18:08 . 2009-06-03 16:30	34	----a-w-	c:\documents and settings\hyx\jagex_runescape_preferences.dat2009-06-19 17:02 . 2009-06-03 14:57	--------	d-----w-	c:\program files\SwiftKit2009-06-18 15:00 . 2001-10-26 18:15	49712	----a-w-	c:\windows\system32\perfc015.dat2009-06-18 15:00 . 2001-10-26 18:15	355830	----a-w-	c:\windows\system32\perfh015.dat2009-06-16 16:14 . 2009-06-03 16:26	--------	d-----w-	c:\program files\VirtualDJ2009-06-13 15:43 . 2009-06-03 14:56	--------	d-----w-	c:\program files\SubEdit-Player2009-06-13 08:53 . 2009-06-03 15:52	1303	----a-w-	c:\windows\mozver.dat2009-06-10 10:19 . 2009-06-03 14:56	--------	d-----w-	c:\program files\Gadu-Gadu2009-06-04 05:59 . 2008-01-29 15:29	33808	----a-w-	c:\windows\system32\drivers\klbg.sys2009-06-03 17:56 . 2009-06-03 15:03	--------	d-----w-	c:\program files\Java2009-06-03 17:47 . 2009-06-03 15:03	--------	d-----w-	c:\program files\Winamp2009-06-03 16:08 . 2009-06-03 15:57	120253	----a-w-	c:\windows\hpoins11.dat2009-06-03 16:08 . 2009-06-03 16:08	--------	d-----w-	c:\documents and settings\hyx\Dane aplikacji\HP2009-06-03 16:08 . 2009-06-03 16:08	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\HP2009-06-03 16:07 . 2009-06-03 16:07	--------	d-----w-	c:\program files\Common Files\HP2009-06-03 16:07 . 2009-06-03 15:59	--------	d-----w-	c:\program files\HP2009-06-03 16:06 . 2009-06-03 16:06	--------	d-----w-	c:\program files\Hewlett-Packard2009-06-03 16:06 . 2009-06-03 16:06	--------	d-----w-	c:\program files\Common Files\Hewlett-Packard2009-06-03 15:07 . 2009-06-03 15:07	12328	----a-w-	c:\documents and settings\hyx\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-06-03 15:06 . 2009-06-03 15:03	--------	d-----w-	c:\documents and settings\hyx\Dane aplikacji\Winamp2009-06-03 15:06 . 2009-06-03 15:06	--------	d-----w-	c:\program files\Winamp Toolbar2009-06-03 15:06 . 2009-06-03 15:06	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar2009-06-03 15:01 . 2009-06-03 15:01	0	----a-w-	c:\windows\nsreg.dat2009-06-03 15:00 . 2009-06-03 14:53	--------	d-----w-	c:\program files\Common Files\Adobe2009-06-03 15:00 . 2009-06-03 15:00	--------	d-----w-	c:\program files\Common Files\Java2009-06-03 14:57 . 2009-06-03 14:57	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\SwiftKit2009-06-03 14:57 . 2009-06-03 14:57	--------	d-----w-	c:\documents and settings\hyx\Dane aplikacji\Gadu-Gadu2009-06-03 14:56 . 2009-06-03 14:56	--------	d-----w-	c:\program files\K-Lite Codec Pack2009-06-03 14:56 . 2009-06-03 14:56	--------	d-----w-	c:\program files\FDRLab2009-06-03 14:55 . 2009-06-03 14:55	--------	d-----w-	c:\program files\DirectX 9.0c2009-06-03 14:54 . 2009-06-03 14:54	--------	d-----w-	c:\program files\Lavalys2009-06-03 14:54 . 2009-06-03 14:54	--------	d-----w-	c:\program files\BearShare Applications2009-06-03 14:51 . 2009-06-03 14:51	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\ESET2009-06-03 14:48 . 2009-06-03 14:46	--------	d-----w-	c:\program files\Realtek2009-06-03 14:48 . 2009-06-03 14:45	--------	d--h--w-	c:\program files\InstallShield Installation Information2009-06-03 14:47 . 2009-06-03 14:40	15600	----a-w-	c:\windows\gdrv.sys2009-06-03 14:45 . 2009-06-03 14:45	315392	----a-w-	c:\windows\HideWin.exe2009-06-03 14:45 . 2009-06-03 14:45	--------	d-----w-	c:\program files\DIFX2009-06-03 14:43 . 2009-06-03 14:43	--------	d-----w-	c:\program files\Common Files\InstallShield2009-06-03 14:41 . 2009-06-03 14:41	--------	d-----w-	c:\documents and settings\hyx\Dane aplikacji\InstallShield2009-06-03 14:35 . 2009-06-03 14:35	--------	d-----w-	c:\program files\microsoft frontpage2009-06-03 14:35 . 2009-06-03 14:34	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-06-03 14:34 . 2009-06-03 14:34	--------	d-----w-	c:\program files\Usługi online2009-06-03 14:32 . 2009-06-03 14:32	21856	----a-w-	c:\windows\system32\emptyregdb.dat2009-05-28 09:23 . 2009-05-28 09:23	42088	----a-w-	c:\documents and settings\hyx\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll2009-05-07 15:44 . 2004-08-03 22:44	346112	----a-w-	c:\windows\system32\localspl.dll2009-04-29 04:53 . 2004-08-03 22:44	662016	----a-w-	c:\windows\system32\wininet.dll2009-04-29 04:53 . 2004-08-03 22:44	81920	----a-w-	c:\windows\system32\ieencode.dll2009-04-19 20:11 . 2004-08-03 22:37	1846912	----a-w-	c:\windows\system32\win32k.sys2009-04-15 15:18 . 2004-08-03 22:44	584192	----a-w-	c:\windows\system32\rpcrt4.dll2009-06-04 12:27 . 2009-06-03 14:55	67688	----a-w-	c:\program files\mozilla firefox\components\jar50.dll2009-06-04 12:27 . 2009-06-03 14:55	54368	----a-w-	c:\program files\mozilla firefox\components\jsd3250.dll2009-06-04 12:27 . 2009-06-03 14:55	34944	----a-w-	c:\program files\mozilla firefox\components\myspell.dll2009-06-04 12:27 . 2009-06-03 14:55	46712	----a-w-	c:\program files\mozilla firefox\components\spellchk.dll2009-06-04 12:27 . 2009-06-03 14:55	172136	----a-w-	c:\program files\mozilla firefox\components\xpinstal.dll.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-05-28 10486376][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-31 86016]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-03 148888]"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-06-04 206088]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-31 1622016]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-05 16380416]"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-06-15 1826816][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-6-3 113664][HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnkbackup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592].Zawartość folderu 'Zaplanowane zadania'2009-06-19 c:\windows\Tasks\WGASetup.job- c:\windows\system32\KB905474\wgasetup.exe [2009-06-05 20:18]..------- Skan uzupełniający -------.uStart Page = hxxp://www.yahoo.commStart Page = hxxp://www.yahoo.comuInternet Connection Wizard,ShellNext = iexploreIE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.htmlIE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htmTCP: {2D2CE236-53AA-49BA-B44C-9D4AD8FF33B2} = 194.204.159.1 194.204.152.34FF - ProfilePath - .**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-06-19 20:45Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(3852)c:\windows\system32\msi.dllc:\windows\system32\browselc.dllc:\program files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\windows\system32\rundll32.exec:\program files\Java\jre6\bin\jqs.exec:\windows\system32\nvsvc32.exec:\windows\system32\HPZipm12.exec:\windows\system32\wdfmgr.exec:\windows\system32\wbem\wmiapsrv.exec:\documents and settings\hyx\Pulpit\ComboFix.exe.**************************************************************************.Czas ukończenia: 2009-06-19 20:47 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2009-06-19 18:47Przed: 120 791 773 184 bajtów wolnychPo: 124 121 264 128 bajtów wolnychWindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe[boot loader]timeout=2default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdconsmulti(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimermulti(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect205	--- E O F ---	2009-06-10 05:17

[Mateusz J.]

Log czysty.

Pliki *.bat uruchamiają się poprzez autostart, ewentualnie inne wirusy mogą je uruchamiać, ale tutaj nie widać czegoś takiego.

Także możesz czuć się spokojnie.

[fake91]

Log czysty.

Pliki *.bat uruchamiają się poprzez autostart, ewentualnie inne wirusy mogą je uruchamiać, ale tutaj nie widać czegoś takiego.

Także możesz czuć się spokojnie.

podczas instalacji pliki bat mogą uruchamiać pliki reg - co może być niebezpieczne

[kamil0123]

Można jakoś temu zapobiec?

[Mateusz J.]

pliki reg

Nie widać żadnych zmian w rejestrze, więc to nie w tym przypadku.

Pliki bat mogą uruchamiać/tworzyć nie tylko pliki reg.